Concesión de acceso para crear suscripciones de Azure Enterprise (heredado)
Como cliente de Azure del Contrato Enterprise (EA), puede conceder a otro usuario u otra entidad de servicio permisos para crear suscripciones facturadas en su cuenta. En este artículo, aprenderá a usar el control de acceso basado en rol (RBAC) para compartir la capacidad de crear suscripciones y cómo auditar creaciones de suscripciones. Debe tener el rol de propietario en la cuenta que desea compartir.
Nota
- Esta API solo funciona con las API heredadas para la de creación de suscripciones.
- A menos que tenga una necesidad específica de usar las API heredadas, debe usar la información de la versión de disponibilidad general más reciente acerca de la versión de API más reciente. Consulte Asignaciones de roles de cuenta de inscripción: Put para otorgar permiso de creación de suscripciones de EA con las API más recientes.
- Si va a hacer una migración para usar las API más recientes, debe conceder permisos de propietario nuevamente con 2019-10-01-Preview. La configuración anterior que utiliza las siguientes API no permite usar automáticamente las API más recientes.
Nota:
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Conceder acceso
Para crear suscripciones en una cuenta de inscripción, los usuarios deben contar con el rol de propietario de Azure RBAC en esa cuenta. Puede conceder a un usuario o a un grupo de usuarios el rol de propietario de Azure RBAC en una cuenta de inscripción si sigue estos pasos:
Obtenga el id. de objeto de la cuenta de inscripción a la que quiere conceder acceso
Para conceder a otros usuarios el rol de propietario de Azure RBAC en una cuenta de inscripción, debe ser propietario de la cuenta o un propietario de Azure RBAC de la cuenta.
Solicite mostrar todas las cuentas de inscripción a las que tiene acceso:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
Azure responde con una lista de todas las cuentas de inscripción a las que tiene acceso:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }
Use la propiedad
principalName
para identificar la cuenta para la que quiere conceder acceso al propietario de Azure RBAC. Copie el elementoname
de esa cuenta. Por ejemplo, si quisiera conceder acceso al propietario de Azure RBAC a la cuenta de inscripción SignUpEngineering@contoso.com, copiaríaaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
. Es el identificador de objeto de la cuenta de inscripción. Pegue este valor en algún lugar para poder usarlo en el paso siguiente comoenrollmentAccountObjectId
.Use la propiedad
principalName
para identificar la cuenta para la que quiere conceder acceso al propietario de Azure RBAC. Copie el elementoname
de esa cuenta. Por ejemplo, si quisiera conceder acceso al propietario de Azure RBAC a la cuenta de inscripción SignUpEngineering@contoso.com, copiaríaaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
. Es el identificador de objeto de la cuenta de inscripción. Pegue este valor en algún lugar para poder usarlo en el paso siguiente comoenrollmentAccountObjectId
.Obtenga el id. del usuario o grupo al que quiere conceder el rol de propietario de Azure RBAC
- En Azure Portal, busque en Microsoft Entra ID.
- Si desea conceder acceso a un usuario, seleccione Usuarios en el menú de la izquierda. Para conceder acceso a un grupo, seleccione Grupos.
- Seleccione el usuario o grupo al que quiere asignar el rol de propietario de Azure RBAC.
- Si ha seleccionado un usuario, encontrará el id. de objeto en la página de perfil. Si ha seleccionado un grupo, el identificador de objeto estará en la página introducción. Copie el valor de ObjectID seleccionando el icono de la derecha del cuadro de texto. Péguelo en algún lugar para poder usarlo en el paso siguiente como
userObjectId
.
Conceda al usuario o grupo el rol de propietario de Azure RBAC en la cuenta de inscripción
Con los valores que recopiló en los dos primeros pasos, conceda al usuario o grupo el rol de propietario de Azure RBAC en la cuenta de inscripción.
Ejecute el comando siguiente, reemplazando
<enrollmentAccountObjectId>
por el elementoname
copiado en el primer paso (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
). Reemplace<userObjectId>
con el identificador de objeto que ha copiado en el segundo paso.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }
Cuando el rol de propietario se asigna correctamente en el ámbito de la cuenta de inscripción, Azure responde con información de la asignación de roles:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Auditoría que ha creado suscripciones con registros de actividad
Para realizar el seguimiento de las suscripciones creadas a través de esta API, use la API de registro de actividad de inquilinos. Actualmente no es posible usar PowerShell, la CLI ni Azure Portal para realizar el seguimiento de la creación de suscripciones.
Como administrador de inquilinos del inquilino de Microsoft Entra, eleve los privilegios de acceso y asigne un rol de lector al usuario de auditoría con el ámbito
/providers/microsoft.insights/eventtypes/management
. Este acceso está disponible en el rol Lector, el rol Colaborador de supervisión o un rol personalizado.Como usuario de auditoría, llame a la API de registro de actividad de inquilinos para ver las actividades de creación de suscripciones. Ejemplo:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Para llamar cómodamente a esta API desde la línea de comandos, pruebe ARMClient.
Contenido relacionado
- Ahora que el usuario o la entidad de servicio tienen permiso para crear una suscripción, puede usar dicha identidad para crear suscripciones de Azure Enterprise mediante programación.
- Para obtener un ejemplo sobre cómo crear suscripciones con. NET, vea ejemplo de código en GitHub.
- Para obtener más información sobre Azure Resource Manager y sus API, vea Información general de Azure Resource Manager.
- Para obtener más información sobre cómo administrar grandes cantidades de suscripciones mediante grupos de administración, consulte Organización de los recursos con grupos de administración de Azure.
- Para consultar una guía completa de procedimientos recomendados para grandes organizaciones sobre la gobernanza de suscripciones, vea Scaffolding empresarial de Azure: gobernanza de suscripciones preceptiva